目录:
- IP窃听
- 安全科学研究人员可以使用名为spoofcard的在线服务访问他们设置的帐户,该帐户允许用户使用他们希望的任何号码拨打电话。
- Google公司在一份声明中称,该公司在上周修补了Secure科技公司的漏洞,并在其语音邮件系统中增加了密码要求。该公司表示:“我们一直与Secure Science合作解决他们在Google Voice上提出的问题,并且我们已经对我们的系统进行了一些改进。” “我们还没有收到任何以报告中描述的方式访问任何帐户的报告,并且这种访问需要同时满足许多条件。”
根据公司联合创始人Lance James的说法,Secure Science的研究人员最近发现了从Skype和新的Google Voice通信系统进行未授权呼叫的方法。
IP窃听
攻击者可以访问帐户技术研究人员发现的技术,然后使用低成本的PBX(私人交换分机)程序通过这些账户拨打数千个电话。
“如果我窃取了一堆[Skype帐户],我可以设置[PBX]来循环所有这些号码,并且我可以建立一个虚拟的Skype僵尸网络来拨打外线电话,这对于一个钓鱼者来说可能会是一团糟,这对Skype来说将是一场攻击。“James说,”在Google Voice中,攻击者可以甚至拦截或窥探来电,詹姆斯说。为了拦截一个呼叫,攻击者将使用一个称为临时呼叫转移的功能为该账户添加另一个号码,然后使用免费软件(如Asterisk)在受害者听到响铃之前接听电话。然后按下星号,呼叫就可以转发给受害者的电话,让攻击者有机会接听电话。
[进一步阅读:如何从Windows PC删除恶意软件]
安全科学研究人员可以使用名为spoofcard的在线服务访问他们设置的帐户,该帐户允许用户使用他们希望的任何号码拨打电话。
已使用Spoofcard在过去访问语音邮件帐户。最着名的是,当女主角Lindsay Lohan的黑莓账号在三年前遭到黑客攻击,然后被用来发送不适当的信息时,这一事件遭到了指责。
对Google Voice和Skype的攻击使用不同的技术,但基本上它们都起作用,因为这两项服务都不需要密码访问其语音邮件系统
为使Skype攻击行得通,受害者必须在登录Skype后30分钟内欺骗恶意网站。在Google Voice攻击(pdf)中,黑客首先需要知道受害者的电话号码,但Secure Science已经设计出一种方法来使用Google Voice的短消息服务(SMS)来解决这个问题。
Google地址缺陷
Google公司在一份声明中称,该公司在上周修补了Secure科技公司的漏洞,并在其语音邮件系统中增加了密码要求。该公司表示:“我们一直与Secure Science合作解决他们在Google Voice上提出的问题,并且我们已经对我们的系统进行了一些改进。” “我们还没有收到任何以报告中描述的方式访问任何帐户的报告,并且这种访问需要同时满足许多条件。”
根据James的说法,Skype漏洞尚未修补。詹姆斯说,Skype的母公司EBay没有立即回应评论请求。
这些攻击表明,将老派电话系统安全地整合到更自由的互联网世界是多么棘手,詹姆斯说。 “这种证明…… VoIP很容易搞砸,”他说。他认为这些缺陷几乎肯定会影响其他VoIP系统。 “有些人可以弄清楚如何使用你的电话线。”